금융감독원이 대부업권에서 잇따라 발생한 해킹사고와 관련해 주요 대부업체 CEO(최고경영자)들을 소집하고 보안 수준 강화를 주문했다. 업무용 컴퓨터를 통한 악성코드 감염이 고객정보 유출로 이어진 만큼 대부업체의 정보보안 투자와 내부통제 강화가 시급하다는 판단에서다. 사진은 서울 영등포구 여의도 금융감독원 전경. /사진=머니투데이


금융감독원이 대부업권에서 잇따라 발생한 해킹사고와 관련해 주요 대부업체 CEO(최고경영자)들을 소집하고 보안 수준 강화를 주문했다. 업무용 컴퓨터를 통한 악성코드 감염이 고객정보 유출로 이어진 만큼 대부업체의 정보보안 투자와 내부통제 강화가 시급하다는 판단에서다.


금감원은 13일 김형원 민생금융 담당 부원장보 주재로 대부업권 해킹사고 관련 CEO 간담회를 개최했다고 밝혔다. 간담회에는 금감원과 금융보안원, 대부금융협회 관계자, 상위 20개 대부업체 대표이사 등이 참석했다.

최근 대부업권에서는 일부 고객정보가 유출되는 해킹사고가 잇따라 발생했다. 금감원에 따르면 올해 3월 금전대부업자 대출잔액 기준 43위와 22위 업체에서 해킹사고가 발생했다. 이에 금감원은 사고 유형과 주요 원인을 업계에 공유하고 추가 피해 확산을 막기 위한 대응 방안을 논의했다.

업무용 PC 악성코드 감염이 고객정보 유출로

금감원은 이번 해킹사고가 직원의 업무용 PC(개인 컴퓨터)가 외부 인터넷 사이트 접속 과정에서 악성코드에 감염되며 시작된 것으로 파악했다. 해커는 감염된 PC를 통해 고객정보 탈취를 목적으로 DB(데이터베이스)와 업무시스템 등에 접근을 시도했다. 접근통제와 방화벽 등 보안 체계가 취약한 업체에서는 해커 침입을 막지 못해 고객정보 유출로 이어졌다.


해커는 탈취한 고객정보를 악용해 추가 범죄도 시도했다. 다크웹에 고객정보 판매글을 게시하거나 언론 공개 등을 빌미로 대부업체를 협박하며 보상을 요구했다. 고객에게는 대부업체 명의로 피싱 이메일을 보내 "코인을 전송하면 채무를 면제해주겠다"고 속이는 방식의 범죄도 시도한 것으로 나타났다. 이에 금감원은 지난 3월 대부업체 사칭 피싱 이메일 관련 소비자경보를 발령했다.

금감원은 이번 사고의 근본 원인으로 대부업권의 상대적으로 낮은 보안 인식과 부족한 보안 투자를 지목했다. 대부업권은 신용정보법 적용 대상인 만큼 접근권한 제한, 침입차단·탐지시스템 구축, 접속기록 위·변조 방지, 개인신용정보 암호화, 악성프로그램 침투 방지 등 보안대책을 수립·시행해야 한다.

금감원 "보안 미흡 땐 엄정 제재"

김 부원장보는 간담회에서 추가 해킹사고 가능성에 대비해 업무용 PC의 인터넷 접속 제한을 당부했다. 김 부원장보는 "악성코드 감염을 방지하기 위해 업무용 PC의 SNS(사회관계망서비스) 및 인터넷 사이트 접속을 엄격히 제한해야 한다"고 강조했다.


상위 대부업체가 전문 보안업체를 통해 진행 중인 보안진단에서 취약점이 발견될 경우 즉시 개선해야 한다는 점도 당부했다. 김 부원장보는 "개인신용정보처리시스템에 대한 침입차단·탐지시스템 설치, 개인신용정보의 암호화 등 기술적·물리적·관리적 보안대책을 수립하고 철저히 이행해야 한다"고 말했다.

금감원은 보안대책 수립·시행 의무를 위반해 개인신용정보가 유출될 경우 기관과 임직원 제재, 50억원 이하 과징금, 5000만원 이하 과태료 부과가 가능하다고 경고했다. 부실한 보안 조치로 인한 고객정보 유출에 대해서는 엄정 대응하겠다는 입장이다.


간담회에 참석한 대부업체 CEO들은 정보보안의 중요성과 보안 강화 필요성에 공감했다. 이들은 임직원의 정보보안 인식을 높이고 보안시스템을 개선해 금융소비자가 안심하고 대부업을 이용할 수 있는 환경을 조성하겠다고 밝혔다.

다만 영세 대부업체의 현실적 어려움도 제기됐다. 참석 CEO들은 "영세한 대부업체의 경우 신용정보법상 보안대책 이행에 어려움이 있어 감독당국과 대부금융협회의 지원이 필요하다"는 의견을 전달했다.

대부금융협회는 대부업권의 정보보안 관련 내부통제를 강화하고 신뢰성을 높이기 위해 감독당국과 적극 협력하겠다고 밝혔다.

금감원은 앞으로 대부업권의 보안 수준 강화를 지도할 계획이다. 상위 대부업체에 대한 보안진단이 끝나는 대로 확인된 취약점과 개선 방안을 신속히 지도하기로 했다. 대부업권의 신용정보법상 기술적·물리적·관리적 보안대책 수립·이행 실태도 지속 점검한다.

금감원은 대부금융협회와 함께 신용정보법상 보안대책에 대한 이해도와 정보보안 인식을 높이기 위한 설명자료도 마련할 예정이다. 해킹사고 여파로 대부이용자의 2차 피해가 발생하지 않도록 모니터링도 강화한다.

금융감독원 관계자는 "대부업체의 보안대책 미흡으로 개인신용정보 유출 피해가 발생할 경우 엄정 제재할 방침"이라며 "대부업권의 보안 수준 강화를 지속적으로 지도하고 금융소비자 피해 방지를 위한 점검을 이어가겠다"고 말했다.